利用链的最后一步是让用户创建一个符号链接,该符号链接将要写入的目标文件位置(例如Printers.xml)链接到位于受保护的Windows目录(例如C:\)中的系统文件。 Windows \ System32 \,其中驻留了操作系统内核执行的许多文件。这意味着,当GPSVC尝试在用户可访问的位置写入Printers.xml文件时,实际上将被定向为在C:\ Windows \ System32 \中写入文件,因为它具有系统特权,因此可以这样做。
Cyber​​Ark研究人员将这些步骤描述如下:
列出您在C:\ Users \ user \ AppData \ Local \ Microsoft \ Group Policy \ History \中的组策略GUID。
如果您有多个GUID,请检查最近更新的目录。
进入该目录并进入子目录,即用户SID。
查看最新的修改目录。这将因您的环境而异。就我而言,它是打印机目录。
删除打印机目录内的文件Printers.xml。
创建指向\ RPC Control的NTFS挂载点+与Printers.xml的对象管理器符号链接,该链接指向C:\ Windows \ System32 \ whatever.dll。
打开您喜欢的终端并运行gpupdate。
非特权用户在受保护的OS目录中写入文件的能力之所以危险是因为它可以用于所谓的DLL劫持